Con ese contexto en mente, avancemos a las mejores pr\u00e1cticas de seguridad que te ayudar\u00e1n a evitar amenazas y vulnerabilidades comunes.<\/p>\n\n\n\n
15 mejores pr\u00e1cticas de seguridad de WordPress<\/h2>\n\n\n\n
Las siguientes son las acciones m\u00ednimas que deber\u00edas realizar para incrementar la seguridad de tu sitio WordPress, divididas en categor\u00edas.<\/p>\n\n\n\n
Instalaciones y actualizaciones<\/h3>\n\n\n\n![\"Pantalla](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/15-WordPress-security-best-practices-I-1-1024x743.jpg\")
<\/figure>\n\n\n\nActualiz\u00e1 constantemente tu n\u00facleo de WordPress<\/h4>\n\n\n\n
Las actualizaciones son la m\u00e1s esencial de las mejores pr\u00e1cticas de seguridad en WordPress. Esto se debe a que las amenazas de seguridad, las vulnerabilidades y las soluciones cambian constantemente. Lo que funciona hoy puede no funcionar dentro de unos a\u00f1os, y los desarrolladores de WordPress lo saben. Por eso revisan regularmente su c\u00f3digo en b\u00fasqueda de vulnerabilidades de seguridad.<\/p>\n\n\n\n
Actualizar tu n\u00facleo mejora la seguridad, corrige errores conocidos y mejora el rendimiento de todo tu sitio. Siempre hac\u00e9 una copia de seguridad de tu sitio<\/strong> antes de actualizar sus componentes, incluidos tus archivos centrales.<\/p>\n\n\n\nActualiz\u00e1 constantemente tu versi\u00f3n de PHP<\/h4>\n\n\n\n
Al igual que el archivo central de WordPress, deber\u00edas mantener actualizada tu versi\u00f3n de PHP. Las versiones de PHP generalmente duran de dos a tres a\u00f1os antes de ser actualizadas. Despu\u00e9s de eso, la siguiente versi\u00f3n m\u00e1s reciente recibir\u00e1 actualizaciones de seguridad durante aproximadamente dos a\u00f1os m\u00e1s y luego dejar\u00e1 de ser compatible.<\/p>\n\n\n\n
Usar versiones desactualizadas de PHP es un riesgo de seguridad significativo y un problema de rendimiento para tu sitio.<\/p>\n\n\n\n
Instal\u00e1 solo temas y plugins de WordPress seguros<\/h4>\n\n\n\n
Un plugin o tema no puede mantenerse 100% seguro para siempre. Los hackers siempre est\u00e1n explorando c\u00f3digo y experimentando con nuevos ataques, por lo que los desarrolladores necesitan ofrecer soporte continuo.<\/p>\n\n\n\n
En el caso de los plugins, visit\u00e1 la Base de Datos de Vulnerabilidades de WPScan<\/a>. Esta lista muestra las vulnerabilidades de seguridad conocidas en plugins. Si ves que el plugin que planeas instalar forma parte de la lista, verific\u00e1 si ha sido actualizado desde que se hizo p\u00fablica la vulnerabilidad. Si no, quiz\u00e1 sea mejor prescindir de \u00e9l.<\/p>\n\n\n\nPara temas, revis\u00e1 si:<\/p>\n\n\n\n
\n- Recibe actualizaciones constantes.<\/li>\n\n\n\n
- Los desarrolladores ofrecen soporte directo.<\/li>\n\n\n\n
- Los desarrolladores son transparentes sobre qui\u00e9nes est\u00e1n involucrados en el proceso.<\/li>\n\n\n\n
- Pod\u00e9s encontrar rese\u00f1as imparciales en su sitio web oficial.<\/li>\n\n\n\n
- Es popular y conocido.<\/li>\n<\/ul>\n\n\n\n
Estos puntos se aplican tambi\u00e9n a los plugins. <\/p>\n\n\n\n
Por \u00faltimo, descarg\u00e1 solo plugins y temas de fuentes confiables, como el repositorio oficial de plugins de WordPress. <\/p>\n\n\n\n
Contrase\u00f1as e inicio de sesi\u00f3n<\/h3>\n\n\n\n![\"Un](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/15-WordPress-security-best-practices-II-1-1024x743.jpg\")
<\/figure>\n\n\n\nUs\u00e1 contrase\u00f1as fuertes y \u00fanicas en todas las cuentas relacionadas con WordPress<\/h4>\n\n\n\n
Evit\u00e1 contrase\u00f1as cortas con palabras comunes y reutilizar contrase\u00f1as para m\u00faltiples cuentas. Segu\u00ed estas pautas al crear contrase\u00f1as \u00fanicas para todos los miembros de tu equipo.<\/p>\n\n\n\n
\n- Us\u00e1 contrase\u00f1as largas (12-20 caracteres) y complejas que combinen letras may\u00fasculas y min\u00fasculas, n\u00fameros y caracteres especiales, como \u201c*\u201d y \u201c\/.\u201d<\/li>\n\n\n\n
- Consider\u00e1 crear reglas para las palabras en las contrase\u00f1as. Por ejemplo, pod\u00e9s exigir que las palabras se trunquen a la mitad o que se eliminen las vocales (\u201cmiel\u201d se convierte en \u201cmll\u201d) para evitar combinaciones de letras predecibles.<\/li>\n\n\n\n
- Evit\u00e1 palabras comunes y patrones predecibles, como una palabra com\u00fan seguida de cuatro n\u00fameros.<\/li>\n\n\n\n
- No uses \u201ca\u201d o \u201c1\u201d como primer car\u00e1cter de la contrase\u00f1a.<\/li>\n\n\n\n
- Us\u00e1 contrase\u00f1as \u00fanicas para todas las cuentas asociadas a tu sitio de WordPress.<\/li>\n\n\n\n
- Consider\u00e1 usar un gestor de contrase\u00f1as para gestionar todas estas contrase\u00f1as complejas y \u00fanicas.<\/li>\n<\/ul>\n\n\n\n
Us\u00e1 plugins para limitar la cantidad de intentos fallidos de inicio de sesi\u00f3n<\/h4>\n\n\n\n
WordPress permite intentos de inicio de sesi\u00f3n fallidos infinitos en tu sitio por defecto. Un hacker puede seguir intentando descifrar tus contrase\u00f1as hasta que lo logre.<\/p>\n\n\n\n
Explor\u00e1 plugins que temporalmente impidan a direcciones IP intentar acceder a tu panel de administrador si fallan una cierta cantidad de veces consecutivas (como 3, 5 o 10 veces). El plugin m\u00e1s popular que limita los intentos de inicio de sesi\u00f3n es Limit Login Attempts Reloaded.<\/p>\n\n\n\n
Habilit\u00e1 la autenticaci\u00f3n multifactor en todas las cuentas posibles<\/h4>\n\n\n\n
La autenticaci\u00f3n multifactor es una forma de control de acceso que permite el acceso solo despu\u00e9s de que el usuario ha proporcionado dos o m\u00e1s pruebas de identidad. A menudo, solo se requieren dos pruebas: autenticaci\u00f3n de dos factores.<\/p>\n\n\n\n
Algunos plugins populares que habilitan la autenticaci\u00f3n de dos factores incluyen Shield WordPress Security, Google Authenticator \u2013 Two Factor Authentication (2FA), y Duo Two-Factor Authentication.<\/p>\n\n\n\n
Explor\u00e1 maneras de agregar autenticaci\u00f3n de dos factores a otras cuentas asociadas con tu sitio de WordPress, como tu cPanel y direcciones de correo electr\u00f3nico, utilizando el dominio de tu sitio web.<\/p>\n\n\n\n
Restring\u00ed los permisos de usuario solo a lo necesario seg\u00fan sus roles<\/h4>\n\n\n\n
Restringir los permisos de usuario es esencial porque si un hacker lograra descifrar las credenciales de una cuenta, el da\u00f1o que pueden hacer se limita a lo que esa cuenta tiene permiso para hacer. Establecer estrictamente los permisos de usuario minimiza los posibles puntos de entrada.<\/p>\n\n\n\n
Puedes modificar los permisos de archivo usando un cliente FTP como FileZilla y haciendo clic derecho en los archivos y carpetas. Obtendr\u00e1s una lista de permisos para cada tipo de usuario, que podr\u00e1s modificar.<\/p>\n\n\n\n
Cre\u00e1 registros para grabar cada acci\u00f3n que los usuarios realicen mientras est\u00e1n conectados<\/h4>\n\n\n\n
Monitorear la actividad de los usuarios significa crear un registro autom\u00e1tico (qu\u00e9 p\u00e1ginas abrieron, qu\u00e9 archivos descargaron, etc.). Es necesario determinar qu\u00e9 usuarios son leg\u00edtimos y cu\u00e1les son bots o cuentas comprometidas.<\/p>\n\n\n\n
Plugins como Sucuri, WP Security Audit Log, Simple History y ActivityLog crean registros de actividad de usuarios.<\/p>\n\n\n\n
Cambi\u00e1 la URL de inicio de sesi\u00f3n predeterminada<\/h4>\n\n\n\n
La URL de inicio de sesi\u00f3n de tu sitio es \u201cwww.tusitio123.com\/wp-admin<\/strong>\/\u201d por defecto. Esto es conveniente para los administradores pero tambi\u00e9n para los atacantes que intentan forzar su entrada a tu panel de control.<\/p>\n\n\n\nDeber\u00edas cambiar tu URL de inicio de sesi\u00f3n a una ubicaci\u00f3n menos predecible. Al ocultarla de los usuarios fuera del c\u00edrculo de administraci\u00f3n, das un paso significativo hacia la seguridad de tu sitio. Le\u00e9 nuestra gu\u00eda<\/a> sobre c\u00f3mo usar el plugin WPS Hide Login para cambiar la ubicaci\u00f3n de tu URL de inicio de sesi\u00f3n.<\/p>\n\n\n\nEscaneos, limpiezas y seguridad general del sitio<\/h3>\n\n\n\n![\"Pantalla](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/15-WordPress-security-best-practices-III-1-1024x743.jpg\")
<\/figure>\n\n\n\nAloj\u00e1 tu sitio web con un proveedor de hosting seguro<\/h4>\n\n\n\n
Los servicios que ofrece tu proveedor de hosting juegan un papel en la seguridad del sitio web. Al elegir o cambiar de host, consider\u00e1 si ofrecen los siguientes servicios:<\/p>\n\n\n\n
\n- Seguridad y restricci\u00f3n de acceso a informaci\u00f3n confidencial.<\/li>\n\n\n\n
- Copia de seguridad y restauraci\u00f3n f\u00e1cil de tu sitio web.<\/li>\n\n\n\n
- Escaneo de malware.<\/li>\n\n\n\n
- Prevenci\u00f3n de ataques de denegaci\u00f3n de servicio.<\/li>\n\n\n\n
- Oferta de m\u00e1xima disponibilidad.<\/li>\n<\/ul>\n\n\n\n
Eleg\u00ed el proveedor de hosting que ofrezca el mejor equilibrio de medidas de seguridad.<\/p>\n\n\n\n
Instal\u00e1 un plugin que realice escaneos regulares de malware<\/h4>\n\n\n\n
Los esc\u00e1neres de malware exploran los archivos de tu sitio web para:<\/p>\n\n\n\n
\n- Identificar y eliminar malware.<\/li>\n\n\n\n
- Prevenir que el malware se propague a las computadoras de los usuarios y robe sus datos.<\/li>\n\n\n\n
- Proteger bases de datos de ataques de inyecci\u00f3n.<\/li>\n<\/ul>\n\n\n\n
Algunos de los esc\u00e1neres de malware m\u00e1s populares de WordPress son Sucuri, Wordfence y iThemes security.<\/p>\n\n\n\n
Habilit\u00e1 SSL\/HTTPS para que los visitantes puedan conectarse de manera segura a tu sitio<\/h4>\n\n\n\n
Los certificados SSL son una necesidad para una navegaci\u00f3n web segura. Sus beneficios incluyen:<\/p>\n\n\n\n
\n- Protecci\u00f3n de la informaci\u00f3n de inicio de sesi\u00f3n.<\/li>\n\n\n\n
- Validaciones de dominio, organizaci\u00f3n y extendidas. Una Autoridad de Certificaci\u00f3n (una organizaci\u00f3n que gestiona certificados SSL) valida que tu sitio web es gestionado por las personas que afirma ser gestionado.<\/li>\n\n\n\n
- Impulso en la clasificaci\u00f3n de SEO.<\/li>\n<\/ul>\n\n\n\n
Los certificados SSL m\u00e1s autoritativos y validados cuestan dinero. Sin embargo, los certificados menos autoritativos pueden obtenerse de forma gratuita, proporcionando igualmente una conexi\u00f3n segura a los visitantes. Algunos plugins populares que ofrecen certificados SSL gratuitos incluyen WP LetsEncrypt, Really Simple SSL, y WP Force SSL.<\/p>\n\n\n\n
Us\u00e1 verificaciones de integridad de archivos para detectar brechas y posibles puertas traseras<\/h4>\n\n\n\n
Tambi\u00e9n conocidos como escaneo y monitoreo de cambios en archivos, los verificadores de integridad de archivos escanean la llamada \u201chuella digital\u201d de un archivo, un hash criptogr\u00e1fico que act\u00faa como un identificador del historial de cambios de un archivo. Si el contenido del archivo cambia, como cuando reescrib\u00eds c\u00f3digo o modific\u00e1s un archivo de texto, el hash tambi\u00e9n cambia.<\/p>\n\n\n\n
Los verificadores de integridad de archivos notifican a los administradores cuando cambia el hash de un archivo. Estos cambios pueden ser benignos y deseados, pero tambi\u00e9n pueden indicar una acci\u00f3n maliciosa. Por ejemplo, un atacante puede modificar un archivo .php para crear una puerta trasera a tu sitio, un punto de entrada no autorizado.<\/p>\n\n\n\n
Website File Changes Monitor es el verificador de integridad m\u00e1s popular en WordPress.<\/p>\n\n\n\n
Us\u00e1 un firewall de aplicaciones web para bloquear el acceso y filtrar actividad maliciosa<\/h4>\n\n\n\n
Los firewalls de aplicaciones web (WAFs) act\u00faan en el nivel de aplicaci\u00f3n, donde los usuarios interact\u00faan con aplicaciones como sitios web. Los WAFs ofrecen los siguientes beneficios:<\/p>\n\n\n\n
\n- Filtrar, monitorear y bloquear tr\u00e1fico HTTPS malicioso que intenta ingresar a las aplicaciones web.<\/li>\n\n\n\n
- Prevenir que datos no autorizados salgan de la aplicaci\u00f3n.<\/li>\n\n\n\n
- Crear un perfil de aplicaci\u00f3n para entender patrones de datos, solicitudes t\u00edpicas, URLs y valores y tipos de datos permitidos. Los perfiles de aplicaciones facilitan el reconocimiento de solicitudes ilegales, anormales y maliciosas.<\/li>\n\n\n\n
- Proveer redes de entrega de contenido (CDNs). Los CDNs mejoran los tiempos de carga del sitio web, la experiencia del usuario y las m\u00e9tricas de SEO.<\/li>\n\n\n\n
- Protecci\u00f3n contra scripting de sitios cruzados<\/a> y ataques de inyecci\u00f3n SQL, que son dos de las amenazas de seguridad m\u00e1s comunes.<\/li>\n\n\n\n
- Flexibilidad y f\u00e1cil despliegue desde la nube o como una instalaci\u00f3n local de software\/hardware.<\/li>\n<\/ul>\n\n\n\n
Los plugins WAF m\u00e1s populares de WordPress incluyen Sucuri, WebARX, Wordfence, MalCare y Cloudflare.<\/p>\n\n\n\n
Copias de seguridad<\/h3>\n\n\n\n![\"Sala](\"https:\/\/wcanvas.com\/wp-content\/uploads\/2023\/02\/15-WordPress-security-best-practices-IV-1-1024x743.jpg\")
<\/figure>\n\n\n\nHac\u00e9 copias de seguridad de tu sitio web regularmente en ubicaciones externas (no solo en el servidor en el que est\u00e1 alojado)<\/h4>\n\n\n\n
Hacer una copia de seguridad de tu sitio web consiste en crear una copia de todos los archivos que hacen posible tu sitio de WordPress, incluidos los archivos de instalaci\u00f3n, plugins, temas y bases de datos.<\/p>\n\n\n\n
Pod\u00e9s hacer copias de seguridad manualmente, con un plugin o con tu proveedor de hosting. Usar tu proveedor de hosting es la opci\u00f3n m\u00e1s conveniente, pero record\u00e1 mantener m\u00faltiples copias de seguridad en m\u00faltiples ubicaciones.<\/p>\n\n\n\n
Si todas tus copias de seguridad est\u00e1n en el mismo servidor que tu sitio web, cualquier fallo cr\u00edtico que derribe tu sitio tambi\u00e9n podr\u00eda derribar tus copias de seguridad, borr\u00e1ndolas junto con tu sitio en vivo. Para una gu\u00eda completa sobre c\u00f3mo hacer una copia de seguridad de tu sitio, le\u00e9 nuestro art\u00edculo sobre copias de seguridad de WordPress<\/a>.<\/p>\n\n\n\nVulnerabilidades y amenazas comunes<\/h2>\n\n\n\n
Los atacantes est\u00e1n constantemente investigando el entorno de WordPress para explotar puntos d\u00e9biles. Estos son los tipos m\u00e1s comunes de amenazas de seguridad en WordPress:<\/p>\n\n\n\n
\n- Puertas traseras:<\/strong> software que elude los mecanismos de inicio de sesi\u00f3n para obtener acceso no autorizado a un sitio.<\/li>\n\n\n\n
- Hacktools (herramientas de hacking):<\/strong> programas creados para descifrar o romper sistemas de seguridad.<\/li>\n\n\n\n
- Spam SEO:<\/strong> una vez que tu sitio ha sido vulnerado, los spammers SEO llenan tu sitio web con enlaces a sitios externos. Generalmente, es una forma en que un tercero malicioso infla sus rankings de SEO al construir un cat\u00e1logo de enlaces de retroceso (involuntarios).<\/li>\n\n\n\n
- Phishing:<\/strong> a trav\u00e9s de correos electr\u00f3nicos u otros mensajes, los hackers se hacen pasar por marcas y empresas leg\u00edtimas para que las v\u00edctimas compartan datos personales como n\u00fameros de tarjeta de cr\u00e9dito.<\/li>\n\n\n\n
- Defacements:<\/strong> una vez que un sitio ha sido vulnerado, los hackers reemplazan el sitio web original por uno nuevo, a veces con la intenci\u00f3n de pedir un rescate a cambio de restaurar el sitio web original.<\/li>\n\n\n\n
- Mailers:<\/strong> correos electr\u00f3nicos que contienen archivos maliciosos que, al ser descargados, lanzan un ataque en el dispositivo.<\/li>\n\n\n\n
- Droppers:<\/strong> malware dise\u00f1ado para instalar virus, puertas traseras, etc., en los dispositivos que interact\u00faan con \u00e9l.<\/li>\n<\/ul>\n\n\n\n
Las mejores pr\u00e1cticas de seguridad de WordPress, como las que hemos explorado en este art\u00edculo, est\u00e1n dise\u00f1adas para bloquear los intentos de brecha comunes usando m\u00e9todos como estos.<\/p>\n\n\n\n
Conclusi\u00f3n<\/h2>\n\n\n\n
Aplicar estas mejores pr\u00e1cticas de seguridad de WordPress te ayudar\u00e1 a evitar de manera proactiva amenazas de seguridad generalizadas como el spam SEO, las puertas traseras, y el scripting de sitios cruzados.<\/p>\n\n\n\n
Cuidar la seguridad de WordPress es un asunto serio que puede llevar tiempo dominar, pero una vez que lo hagas, reforzarla te ahorrar\u00e1 tiempo, recursos y muchos dolores de cabeza.<\/p>\n\n\n\n
<\/figure>\n\n\n\nActualiz\u00e1 constantemente tu n\u00facleo de WordPress<\/h4>\n\n\n\n
Las actualizaciones son la m\u00e1s esencial de las mejores pr\u00e1cticas de seguridad en WordPress. Esto se debe a que las amenazas de seguridad, las vulnerabilidades y las soluciones cambian constantemente. Lo que funciona hoy puede no funcionar dentro de unos a\u00f1os, y los desarrolladores de WordPress lo saben. Por eso revisan regularmente su c\u00f3digo en b\u00fasqueda de vulnerabilidades de seguridad.<\/p>\n\n\n\n
Actualizar tu n\u00facleo mejora la seguridad, corrige errores conocidos y mejora el rendimiento de todo tu sitio. Siempre hac\u00e9 una copia de seguridad de tu sitio<\/strong> antes de actualizar sus componentes, incluidos tus archivos centrales.<\/p>\n\n\n\n Al igual que el archivo central de WordPress, deber\u00edas mantener actualizada tu versi\u00f3n de PHP. Las versiones de PHP generalmente duran de dos a tres a\u00f1os antes de ser actualizadas. Despu\u00e9s de eso, la siguiente versi\u00f3n m\u00e1s reciente recibir\u00e1 actualizaciones de seguridad durante aproximadamente dos a\u00f1os m\u00e1s y luego dejar\u00e1 de ser compatible.<\/p>\n\n\n\n Usar versiones desactualizadas de PHP es un riesgo de seguridad significativo y un problema de rendimiento para tu sitio.<\/p>\n\n\n\n Un plugin o tema no puede mantenerse 100% seguro para siempre. Los hackers siempre est\u00e1n explorando c\u00f3digo y experimentando con nuevos ataques, por lo que los desarrolladores necesitan ofrecer soporte continuo.<\/p>\n\n\n\n En el caso de los plugins, visit\u00e1 la Base de Datos de Vulnerabilidades de WPScan<\/a>. Esta lista muestra las vulnerabilidades de seguridad conocidas en plugins. Si ves que el plugin que planeas instalar forma parte de la lista, verific\u00e1 si ha sido actualizado desde que se hizo p\u00fablica la vulnerabilidad. Si no, quiz\u00e1 sea mejor prescindir de \u00e9l.<\/p>\n\n\n\n Para temas, revis\u00e1 si:<\/p>\n\n\n\n Estos puntos se aplican tambi\u00e9n a los plugins. <\/p>\n\n\n\n Por \u00faltimo, descarg\u00e1 solo plugins y temas de fuentes confiables, como el repositorio oficial de plugins de WordPress. <\/p>\n\n\n\n Evit\u00e1 contrase\u00f1as cortas con palabras comunes y reutilizar contrase\u00f1as para m\u00faltiples cuentas. Segu\u00ed estas pautas al crear contrase\u00f1as \u00fanicas para todos los miembros de tu equipo.<\/p>\n\n\n\n WordPress permite intentos de inicio de sesi\u00f3n fallidos infinitos en tu sitio por defecto. Un hacker puede seguir intentando descifrar tus contrase\u00f1as hasta que lo logre.<\/p>\n\n\n\n Explor\u00e1 plugins que temporalmente impidan a direcciones IP intentar acceder a tu panel de administrador si fallan una cierta cantidad de veces consecutivas (como 3, 5 o 10 veces). El plugin m\u00e1s popular que limita los intentos de inicio de sesi\u00f3n es Limit Login Attempts Reloaded.<\/p>\n\n\n\n La autenticaci\u00f3n multifactor es una forma de control de acceso que permite el acceso solo despu\u00e9s de que el usuario ha proporcionado dos o m\u00e1s pruebas de identidad. A menudo, solo se requieren dos pruebas: autenticaci\u00f3n de dos factores.<\/p>\n\n\n\n Algunos plugins populares que habilitan la autenticaci\u00f3n de dos factores incluyen Shield WordPress Security, Google Authenticator \u2013 Two Factor Authentication (2FA), y Duo Two-Factor Authentication.<\/p>\n\n\n\n Explor\u00e1 maneras de agregar autenticaci\u00f3n de dos factores a otras cuentas asociadas con tu sitio de WordPress, como tu cPanel y direcciones de correo electr\u00f3nico, utilizando el dominio de tu sitio web.<\/p>\n\n\n\n Restringir los permisos de usuario es esencial porque si un hacker lograra descifrar las credenciales de una cuenta, el da\u00f1o que pueden hacer se limita a lo que esa cuenta tiene permiso para hacer. Establecer estrictamente los permisos de usuario minimiza los posibles puntos de entrada.<\/p>\n\n\n\n Puedes modificar los permisos de archivo usando un cliente FTP como FileZilla y haciendo clic derecho en los archivos y carpetas. Obtendr\u00e1s una lista de permisos para cada tipo de usuario, que podr\u00e1s modificar.<\/p>\n\n\n\n Monitorear la actividad de los usuarios significa crear un registro autom\u00e1tico (qu\u00e9 p\u00e1ginas abrieron, qu\u00e9 archivos descargaron, etc.). Es necesario determinar qu\u00e9 usuarios son leg\u00edtimos y cu\u00e1les son bots o cuentas comprometidas.<\/p>\n\n\n\n Plugins como Sucuri, WP Security Audit Log, Simple History y ActivityLog crean registros de actividad de usuarios.<\/p>\n\n\n\n La URL de inicio de sesi\u00f3n de tu sitio es \u201cwww.tusitio123.com\/wp-admin<\/strong>\/\u201d por defecto. Esto es conveniente para los administradores pero tambi\u00e9n para los atacantes que intentan forzar su entrada a tu panel de control.<\/p>\n\n\n\n Deber\u00edas cambiar tu URL de inicio de sesi\u00f3n a una ubicaci\u00f3n menos predecible. Al ocultarla de los usuarios fuera del c\u00edrculo de administraci\u00f3n, das un paso significativo hacia la seguridad de tu sitio. Le\u00e9 nuestra gu\u00eda<\/a> sobre c\u00f3mo usar el plugin WPS Hide Login para cambiar la ubicaci\u00f3n de tu URL de inicio de sesi\u00f3n.<\/p>\n\n\n\n Los servicios que ofrece tu proveedor de hosting juegan un papel en la seguridad del sitio web. Al elegir o cambiar de host, consider\u00e1 si ofrecen los siguientes servicios:<\/p>\n\n\n\n Eleg\u00ed el proveedor de hosting que ofrezca el mejor equilibrio de medidas de seguridad.<\/p>\n\n\n\n Los esc\u00e1neres de malware exploran los archivos de tu sitio web para:<\/p>\n\n\n\n Algunos de los esc\u00e1neres de malware m\u00e1s populares de WordPress son Sucuri, Wordfence y iThemes security.<\/p>\n\n\n\n Los certificados SSL son una necesidad para una navegaci\u00f3n web segura. Sus beneficios incluyen:<\/p>\n\n\n\n Los certificados SSL m\u00e1s autoritativos y validados cuestan dinero. Sin embargo, los certificados menos autoritativos pueden obtenerse de forma gratuita, proporcionando igualmente una conexi\u00f3n segura a los visitantes. Algunos plugins populares que ofrecen certificados SSL gratuitos incluyen WP LetsEncrypt, Really Simple SSL, y WP Force SSL.<\/p>\n\n\n\n Tambi\u00e9n conocidos como escaneo y monitoreo de cambios en archivos, los verificadores de integridad de archivos escanean la llamada \u201chuella digital\u201d de un archivo, un hash criptogr\u00e1fico que act\u00faa como un identificador del historial de cambios de un archivo. Si el contenido del archivo cambia, como cuando reescrib\u00eds c\u00f3digo o modific\u00e1s un archivo de texto, el hash tambi\u00e9n cambia.<\/p>\n\n\n\n Los verificadores de integridad de archivos notifican a los administradores cuando cambia el hash de un archivo. Estos cambios pueden ser benignos y deseados, pero tambi\u00e9n pueden indicar una acci\u00f3n maliciosa. Por ejemplo, un atacante puede modificar un archivo .php para crear una puerta trasera a tu sitio, un punto de entrada no autorizado.<\/p>\n\n\n\n Website File Changes Monitor es el verificador de integridad m\u00e1s popular en WordPress.<\/p>\n\n\n\n Los firewalls de aplicaciones web (WAFs) act\u00faan en el nivel de aplicaci\u00f3n, donde los usuarios interact\u00faan con aplicaciones como sitios web. Los WAFs ofrecen los siguientes beneficios:<\/p>\n\n\n\n Los plugins WAF m\u00e1s populares de WordPress incluyen Sucuri, WebARX, Wordfence, MalCare y Cloudflare.<\/p>\n\n\n\n Hacer una copia de seguridad de tu sitio web consiste en crear una copia de todos los archivos que hacen posible tu sitio de WordPress, incluidos los archivos de instalaci\u00f3n, plugins, temas y bases de datos.<\/p>\n\n\n\n Pod\u00e9s hacer copias de seguridad manualmente, con un plugin o con tu proveedor de hosting. Usar tu proveedor de hosting es la opci\u00f3n m\u00e1s conveniente, pero record\u00e1 mantener m\u00faltiples copias de seguridad en m\u00faltiples ubicaciones.<\/p>\n\n\n\n Si todas tus copias de seguridad est\u00e1n en el mismo servidor que tu sitio web, cualquier fallo cr\u00edtico que derribe tu sitio tambi\u00e9n podr\u00eda derribar tus copias de seguridad, borr\u00e1ndolas junto con tu sitio en vivo. Para una gu\u00eda completa sobre c\u00f3mo hacer una copia de seguridad de tu sitio, le\u00e9 nuestro art\u00edculo sobre copias de seguridad de WordPress<\/a>.<\/p>\n\n\n\n Los atacantes est\u00e1n constantemente investigando el entorno de WordPress para explotar puntos d\u00e9biles. Estos son los tipos m\u00e1s comunes de amenazas de seguridad en WordPress:<\/p>\n\n\n\n Las mejores pr\u00e1cticas de seguridad de WordPress, como las que hemos explorado en este art\u00edculo, est\u00e1n dise\u00f1adas para bloquear los intentos de brecha comunes usando m\u00e9todos como estos.<\/p>\n\n\n\n Aplicar estas mejores pr\u00e1cticas de seguridad de WordPress te ayudar\u00e1 a evitar de manera proactiva amenazas de seguridad generalizadas como el spam SEO, las puertas traseras, y el scripting de sitios cruzados.<\/p>\n\n\n\n Cuidar la seguridad de WordPress es un asunto serio que puede llevar tiempo dominar, pero una vez que lo hagas, reforzarla te ahorrar\u00e1 tiempo, recursos y muchos dolores de cabeza.<\/p>\n\n\n\nActualiz\u00e1 constantemente tu versi\u00f3n de PHP<\/h4>\n\n\n\n
Instal\u00e1 solo temas y plugins de WordPress seguros<\/h4>\n\n\n\n
\n
Contrase\u00f1as e inicio de sesi\u00f3n<\/h3>\n\n\n\n
<\/figure>\n\n\n\nUs\u00e1 contrase\u00f1as fuertes y \u00fanicas en todas las cuentas relacionadas con WordPress<\/h4>\n\n\n\n
\n
Us\u00e1 plugins para limitar la cantidad de intentos fallidos de inicio de sesi\u00f3n<\/h4>\n\n\n\n
Habilit\u00e1 la autenticaci\u00f3n multifactor en todas las cuentas posibles<\/h4>\n\n\n\n
Restring\u00ed los permisos de usuario solo a lo necesario seg\u00fan sus roles<\/h4>\n\n\n\n
Cre\u00e1 registros para grabar cada acci\u00f3n que los usuarios realicen mientras est\u00e1n conectados<\/h4>\n\n\n\n
Cambi\u00e1 la URL de inicio de sesi\u00f3n predeterminada<\/h4>\n\n\n\n
Escaneos, limpiezas y seguridad general del sitio<\/h3>\n\n\n\n
<\/figure>\n\n\n\nAloj\u00e1 tu sitio web con un proveedor de hosting seguro<\/h4>\n\n\n\n
\n
Instal\u00e1 un plugin que realice escaneos regulares de malware<\/h4>\n\n\n\n
\n
Habilit\u00e1 SSL\/HTTPS para que los visitantes puedan conectarse de manera segura a tu sitio<\/h4>\n\n\n\n
\n
Us\u00e1 verificaciones de integridad de archivos para detectar brechas y posibles puertas traseras<\/h4>\n\n\n\n
Us\u00e1 un firewall de aplicaciones web para bloquear el acceso y filtrar actividad maliciosa<\/h4>\n\n\n\n
\n
Copias de seguridad<\/h3>\n\n\n\n
<\/figure>\n\n\n\nHac\u00e9 copias de seguridad de tu sitio web regularmente en ubicaciones externas (no solo en el servidor en el que est\u00e1 alojado)<\/h4>\n\n\n\n
Vulnerabilidades y amenazas comunes<\/h2>\n\n\n\n
\n
Conclusi\u00f3n<\/h2>\n\n\n\n